Tietosuojaseloste

Tässä selosteessa kerrotaan EU:n yleisen tietosuoja-asetuksen (2016/679) asettamien vaatimusten mukaisesti tiedot henkilötietojen käsittelystä sekä rekisteröityjen oikeuksista. Tietosuojaseloste toimii myös selosteena käsittelytoimista viranomaiselle.

Henkilötiedoilla tarkoitetaan tässä kaikkia luonnolliseen henkilöön liittyviä tietoja, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa.

Rekisterinpitäjä

Saraste terveys Oy (”Saraste”)
Annankatu 16 B 49, 00120 Helsinki

Potilasrekisteri on yhteiskäytössä Sarasteen ja siellä toimivien terveydenhuollon ammattihenkilöiden (”Ammattilaiset”) kesken, jotka toimivat itsenäisinä ammatinharjoittajina tai palvelujen tuottajina yritystensä kautta.

Rekisterin nimi

Sarasteen henkilörekisteri

Rekisterin yhteyshenkilö ja tietosuojavastaava:

Kirsi Sävelkoski
kirsi.savelkoski@sarasteklinikka.fi
p. 010 319 4110​

Käsittelyn tarkoitus ja perusteet

Potilastietojen käsittelyn tarkoituksena on potilaiden terveyden ja hyvinvoinnin ylläpitäminen sekä tutkimuksen ja hoidon suunnittelu, toteuttaminen ja seuranta, mukaan lukien tutkimuksen ja hoidon laadun ja vaikuttavuuden valvonta.

Muita henkilötietojen käyttötarkoituksia ovat laskutus, yhteydenpito asiakkaaseen, erilaisten sähköisten viestien lähettäminen sekä hoitoon liittyvän informoinnin ja muistutusten mahdollistaminen, asiakaspalautteen kerääminen, oman toiminnan seuraaminen ja suunnittelu, tilastointi sekä yksityistä terveydenhuoltotoimintaa koskevien säädösten ja määräysten noudattaminen.

Suostumuksenvaraisesti kerättyjä tietoja voidaan myöhemmin käyttää tutkimuskäyttöön, jolloin tiedot pseudonymisoidaan.

Ammattihenkilöitä koskevien tietojen käsittelyn tarkoituksena on yhteydenpidon mahdollistaminen, toiminnan kannalta tarpeellisten tietojen ylläpitäminen (ammattinimike, puhelinnumero, potilasrekisterimerkinnät), sopimusperusteisten velvollisuuksien täyttäminen (mm. palkkioiden tilittäminen), toiminnan kehittämiseen ja palvelujen järjestämiseen liittyvä yhteistyö.
Potilastietojärjestelmä kerää lisäksi käyttäjistä lokitietoja.

Nettisivuilta kertyviä evästetietojen ja analytiikan osalta tarkoituksena on sivuston käyttömukavuuden kehittäminen ja sivuston kävijäliikenteen seuraaminen sekä analysointi. Evästetiedoista ei voi tunnistaa yksittäistä käyttäjää.

Tietojen käsittelyn perusteet

Henkilötietojen käsittely perustuu lainsäädäntöön, rekisterinpitäjän oikeutettuun etuun tai sopimukseen, kun kyseessä on:

  • Terveys- ja hyvinvointipalvelujen tuottaminen
  • Ammattilaisten toiminnan ja palvelujen laadun ja vaikuttavuuden varmistaminen
  • Oman toiminnan suunnittelu, kehittäminen, hallinta ja seuranta
  • Laskutus ja perintä
  • Lakisääteisten velvoitteiden täyttäminen.

Henkilötietojen käsittely perustuu lisäksi asiakkaan suostumukseen seuraavissa tilanteissa:

  • Terveyspalveluita tukevien muiden palvelujen tuottaminen asiakkaille
  • Tietojen tallentaminen keskitettyyn potilastietojärjestelmään
  • Tietojen luovuttaminen muille hoitoon osallistuville ammattilaisille sekä huoltajalle ja/tai muulle lailliselle edustajalle
  • Markkinointi ja viestintä, verkkopalveluiden tarjoaminen
  • Palautteen kerääminen
  • Tutkimustarkoitukset

Rekisterin tietosisältö

Saraste säilyttää vain sen toiminnan ja henkilötietojen käyttötarkoitusten kannalta tarpeellisia tietoja, joiden käsittelylle on lailliset edellytykset. Säilytettäviä henkilötietoja ovat:

  • Asiakkaan perustiedot (nimi, henkilötunnus, sukupuoli)
  • Alaikäisen rekisteröidyn huoltaja, nimetty lähiomainen tai laillinen edustaja ja tämän yhteystiedot
  • Yhteys- ja laskutustiedot (osoite, sähköpostiosoite, puhelinnumero, muut ilmoitetut yhteystiedot)
  • Ajanvaraustiedot (päivämäärä, nimi, henkilötunnus, yhteystiedot, tulosyy)
  • Hoidon järjestämistä, suunnittelua, toteutusta ja seurantaa varten tarvittavat tiedot, esimerkiksi esitiedot, lähetteet, konsultaatiot, tutkimuksissa ja hoidossa syntyvät terveystiedot sekä muut hoidon kannalta tarpeelliset tiedot
  • Asiakirjatiedot (saapumisajankohta ja lähde)
  • Suostumustiedot ja kiellot (koskien tietojen luovuttamista ja hankkimista)
  • Palautetiedot (eri kanavista tullut asiakaspalaute)
  • Tiedot hoitoon osallistuvista ammattilaisista
  • Ammattilaisten yhteys- ja tilitystiedot (nimi, organisaatio, henkilö-/y-tunnus, ammattinimike, osoite, sähköposti, puhelinnumero)
  • Lokitiedot
  • Verkkosivujen käyttöön, verkkokäyttäytymiseen ja analytiikkaan liittyvät tiedot

Tietolähteet

Ensisijaisesti tietoja saadaan asiakkaalta itseltään, hänen huoltajaltaan (alaikäinen) tai lailliselta edustajalta tai lähiomaiselta.

Tietoja saadaan asiakasta Sarasteella hoitavilta terveydenhuollon ammattilaisilta ja muilta Sarasteen toimijoilta. Rekisteröidyn suostumuksella tai lakiin perustuen tietoja voidaan saada myös muilta terveydenhuollon toimintayksiköiltä tai terveydenhuollon ammattihenkilöiltä esimerkiksi kansallisen terveysarkiston (Kanta) kautta. Vastaavasti tietoja voidaan saada myös hoidon järjestämiseen osallistuvilta muilta tahoilta sekä esimerkiksi tutkimuksia toteuttaneilta kolmansilta tahoilta kuten laboratorioilta. Joissain tilanteissa tietoja voidaan saada myös esimerkiksi vakuutusyhtiöistä.

Ammattihenkilöitä koskevia henkilötietoja kerätään lisäksi ammattilaisilta itseltään, julkisista lähteistä sekä verkkosivustolta.

Säilytysaika

Henkilötietojen säilytysaika määräytyy henkilötiedon käsittelyn tarkoituksen ja/tai henkilötiedon perusteella. Säilytysaikaan vaikuttavat myös lainsäädännössä asetetut velvoitteet henkilötietojen säilyttämiseen sekä muut säilytysaikaa määrittävät määräajat erilaisten toimenpiteiden toteuttamiselle (esimerkiksi kanneaika tai syyteoikeuden vanhentumisaika).

Potilasrekisteriin tallennettujen henkilötietojen säilytysajoissa noudatetaan kulloinkin voimassa olevaa sääntelyä potilastietojen säilytysajoista.  
Potilaan hoitoon liittyviä tietoja säilytetään potilasasiakirjoja koskevan sosiaali- ja terveysministeriön asetuksen (94/2022) mukaisesti 12 vuotta henkilön kuolemasta, tai mikäli siitä ei ole tietoa, 120 vuotta henkilön syntymästä. Potilastietojärjestelmän lokitietojen lakisääteinen säilytysaika on 12 vuotta.

Käyttötarkoitukseen nähden tarpeettomiksi käyneitä henkilötietoja voidaan poistaa myös asiakassuhteen aikana. Käyttötarkoitukseensa tarpeettomaksi muuttuneet tiedot, vanhentuneet tiedot tai tiedot, joiden käsittelylle ei enää muutoin ole perustetta, anonymisoidaan/pseudonymisoidaan tai tuhotaan turvallisesti.

Tietojen luovutukset

Yhteisrekisterisuostumuksella henkilötietoja käsittelevät Sarasteen terveydenhuollon ammattilaiset ja asiantuntijat. Potilastiedot ovat salassapidettäviä ja niitä käsittelevät vain tahot, joilla on oikeus ja tarve käyttää niitä työtehtäviensä suorittamiseksi. Henkilötietojen käsittely voidaan ulkoistaa myös Sarasteeseen sopimussuhteessa oleville ulkopuolisille palveluntarjoajille, jotka käsittelevät niitä Sarasteen lukuun (potilasrekisterin toimittaja, kirjanpito-ohjelmisto).

Henkilötietoja luovutetaan seuraaville tahoille

Terveystiedot arkistoidaan Kelan ylläpitämään Kanta-palveluiden Potilastiedon arkistoon Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain mukaisesti. Sähköiset reseptit tallentuvat Reseptikeskukseen, jonka rekisterinpitäjänä toimii Kela. Lisätietoja www.kanta.fi.

Lisäksi potilastietoja luovutetaan suostumukseen tai lakiin perustuen seuraaville tahoille:

  1. rekisteröidyn suullisella tai kirjallisella tai asiayhteydestä muutoin ilmenevällä potilasasiakirjoihin merkityllä suostumuksella toiselle terveydenhuollon toimintayksikölle/organisaatiolle/hoitopaikalle tai terveydenhuollon ammattihenkilölle;
  2. vastaaville tahoille myös ilman rekisteröidyn suostumusta, jos rekisteröidyllä ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada rekisteröidyn tajuttomuuden tai muun siihen verrattavan syyn vuoksi;
  3. kirjallisella suostumuksella tai nimenomaisen lainsäännöksen nojalla vakuutusyhtiölle;
  4. viranomaiselle tai muille yhteisöille, joilla on lakiin perustuva oikeus saada tietoja viranomaistehtävän suorittamiseksi (kuten THL, Fimea, Findata ja Kela);
  5. rekisteröidyn huoltajalle, muulle lailliselle edustajalle tai lähiomaiselle, jos rekisteröity on alaikäinen tai antanut tähän suostumuksensa, tai potilaan ollessa tajuttomana tai muun verrattavan syyn vuoksi hoidettavana, jollei ole syytä olettaa, että potilas on kieltänyt tietojen luovutuksen;
  6. tieteelliseen tutkimukseen luovutettavien potilasasiakirjoihin sisältyvien tietojen osalta on voimassa, mitä potilaslain 13.4 §:ssä säädetään. Anonymisoitua ja/tai tilastollista tietoa voidaan käsitellä tutkimus- ja tilastointitarkoituksiin ilman suostumusta.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja käsitellään Euroopan talousalueen (ETA) sisällä, eikä niitä siirretä sen ulkopuolelle. Henkilötietoja voidaan siirtää rajatusti EU- tai ETA –alueen ulkopuolelle lainsäädännön sallimissa rajoissa. Tällöin siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta tietosuojalansäädännön sallimaa siirtomekanismia noudattaen.

Rekisterin suojaamisen periaatteet ja rekisterin säilytyspaikka

Potilastiedot säilytetään ensisijaisesti sähköisessä potilastietojärjestelmässä. Sähköiset terveystiedot arkistoidaan Kelan ylläpitämään Kanta-palveluiden Potilastiedon arkistoon Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain mukaisesti. Lisätietoja www.kanta.fi.

Sähköisiin tietoihin on pääsy vain henkilökohtaisella käyttäjätunnuksella ja salasanalla. Sähköiseen aineistoon ei liity automaattista päätöksentekoa.

Mahdollinen manuaalinen aineisto säilytetään lukitusti osoitteessa Annankatu 16 B 49.

Saraste käyttää asianmukaisia fyysisiä, teknisiä ja hallinnollisia suojakeinoja henkilötietojen suojaamiseksi väärinkäytöksiltä panostamalla mm. tietoverkkoliikenteen ja sähköisen ympäristön tietoturvaan ja virussuojauksen (esim. palomuuri ja sähköpostisuodatus), salattuja yhteyksien käyttämällä, käyttöoikeuksien hallinnoimisella ja käytön valvonnalla, henkilötietoja käsittelevien henkilöiden ohjeistuksilla koskien sekä fyysistä että verkon tietoturvaa ja -suojaa.

Tietoturvaa parannetaan myös valitsemalla käytettävät alihankkijat huolellisesti ja huolehtimalla sopimus- ja muilla järjestelyillä siitä, että henkilötietoja käsitellään myös niiden toimesta lainsäädännön ja hyvän tietosuojakäytännön mukaisesti.

Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä ja tutustua itseään koskeviin tietoihin. Rekisteröity voi tarkastella ja tutustua tietoihinsa ensisijaisesti OmaKanta-palvelussa (www.kanta.fi/omakanta).

Rekisteröityjen oikeuksia koskevat pyynnöt tulee tehdä yksilöidyllä ja allekirjoitetun kirjallisella pyynnöllä, joka tulee toimittaa henkilökohtaisesti Sarasteen toimipaikkaan (Annankatu 16 B 49, 00120 Helsinki). Pyynnön jättämisen yhteydessä rekisteröidyn henkilöllisyys varmennetaan luotettavalla tavalla. Alustava tätä koskeva yhteydenotto suositellaan tekemään sähköpostitse info@sarasteklinikka.fi.

Tarkastusoikeus

Rekisteröidyllä on oikeus tarkastaa itseään koskevat potilasrekisteritiedot. Tarkastusoikeus voidaan evätä laissa säädetyin perustein.

Oikeus vaatia tietojen korjaamista

Rekisteröidyllä on oikeus vaatia oikaistavaksi tai täydennettäväksi käsittelyn tarkoituksen kannalta virheellinen, puutteellinen tai vanhentunut henkilötieto. Ammattihenkilö arvioi pyynnön tilannekohtaisesti.

Oikeus vaatia tietojen poistamista

Rekisteröidyllä on oikeus pyytää henkilötietojen poistamista. Oikeutta kaikkien potilastietojen poistoon ei ole, koska potilastietojen käsittely perustuu lakisääteiseen velvoitteeseen tallentaa tietoja ja säilyttää niitä potilasasiakirjoista annetun sosiaali- ja terveysministeriön asetuksen (94/2022) mukaisesti. Ammattihenkilö arvioi pyynnön tilannekohtaisesti.  Potilasasiakirjoista voidaan poistaa tieto, jonka terveydenhuollon ammattihenkilö katsoo käyttötarkoituksen kannalta turhaksi tai virheelliseksi.

Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle (tietosuojavaltuutetulle), jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.

Suostumuksen peruuttaminen

Milloin henkilötietojen käsittely perustuu suostumukseen, asiakas voi peruuttaa antamansa suostumuksen milloin tahansa. Suostumuksen voi peruuttaa tekemällä yksilöidyn sitä koskevan pyynnön vastaavalla tavalla kuin rekisteröidyn oikeuksia koskevat pyynnöt.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus pyytää tietojen siirtoa järjestelmästä toiseen, jos tiedot ovat rekisteröidyn itse toimittamia ja henkilötietojen käsittely perustuu suostumukseen tai sopimukseen. Potilastietojen osalta siirto-oikeus ei ole sovellettavissa. Potilastietojen osalta toinen terveydenhuollon toimija voi katsoa terveystietoja Kanta-palveluiden kautta asiakkaan suostumusten ja kieltojen mukaisesti. Kyseisiä suostumuksia ja kieltoja voit ylläpitää Omakanta -palvelun kautta (www.kanta.fi/omakanta).